Amazon 近期面臨著關於三款手機監控應用程式的爭議,這些應用程式在 Amazon 的雲伺服器上儲存大量個人私隱數據。儘管 TechCrunch 在幾週前已通知這家科技巨頭其伺服器上存放了被盜的手機數據,但 Amazon 仍未透露是否會採取行動。
根據 TechCrunch 的報導,Amazon 表示正在「遵循其流程」,然而截至本文發佈時,Cocospy、Spyic 和 Spyzie 三款監控應用仍在使用 Amazon Web Services 上傳和儲存從用戶手機中竊取的照片。
相似的應用程式
根據一位安全研究人員的說法,Cocospy、Spyic 和 Spyzie 是三款幾乎相同的 Android 應用程式,這些應用共享相同的源代碼和一個共同的安全漏洞。這位研究人員向 TechCrunch 提供了詳細信息,顯示這些操作共暴露了 310 萬人的手機數據,其中許多受害者並不知情。該研究人員還將這些數據分享給了違規通知網站 Have I Been Pwned。
調查發現
在對這些監控應用的調查中,TechCrunch 發現某些受監控設備的內容正被上傳到 Amazon Web Services 的儲存伺服器上。TechCrunch 在 2 月 20 日通過電子郵件通知 Amazon,指出其伺服器上存放著 Cocospy 和 Spyic 竊取的數據,並在本週早些時候再次通知 Amazon,表示其伺服器上也存放著 Spyzie 竊取的數據。
在這兩封電子郵件中,TechCrunch 包含了每個特定 Amazon 儲存「桶」的名稱,這些桶內含有來自受害者手機的數據。
Amazon 的回應
Amazon 的發言人 Ryan Walsh 對 TechCrunch 表示:「AWS 有明確的條款,要求我們的客戶遵守適用法律。當我們收到潛在違規報告時,我們會迅速行動,審查並採取措施禁用禁止的內容。」Walsh 提供了一個 Amazon 網頁的鏈接,用於舉報濫用行為,但未對這些應用使用的 Amazon 伺服器狀態作出評論。
在本週的後續電子郵件中,TechCrunch 提及了之前的 2 月 20 日電子郵件,該郵件中包含了 Amazon 儲存桶的名稱。Walsh 回覆時感謝 TechCrunch「讓我們注意到此事」,並再次提供了 Amazon 的舉報濫用表單鏈接。在再次詢問 Amazon 是否計劃對這些存儲桶採取行動時,Walsh 回覆道:「我們尚未收到 TechCrunch 通過我們之前提供的鏈接提交的濫用報告。」
財務利益與責任
Amazon Web Services 作為一個商業機構,對保留付費客戶有著強烈的財務利益,根據公司的 2024 年全年財報顯示,該部門在 2024 年獲得了 398 億美元的利潤,佔 Amazon 總年收入的主要部分。
截至本文發佈時,Cocospy、Spyic 和 Spyzie 使用的儲存桶仍然活躍。
為何這件事重要
Amazon 自身的可接受使用政策清楚地列出了公司允許客戶在其平台上托管的內容。Amazon 顯然並不否認其禁止間諜軟件和監控應用在其平台上上傳數據的政策。然而,Amazon 的爭議似乎完全是程序性的。
作為記者,並不應該負責監管 Amazon 平台或其他公司的雲平台上托管的內容。Amazon 擁有巨大的財力和技術資源,應能夠執行其政策,確保不法分子不會濫用其服務。
TechCrunch 向 Amazon 提供了通知,包括直接指向被盜私隱數據所在位置的信息,但 Amazon 選擇不對接收到的信息採取行動。
調查過程
當 TechCrunch 獲悉與監控相關的數據洩露事件時,會進行調查以了解這些操作的詳細情況。這些調查不僅有助於識別被黑客入侵的受害者,還可以揭示監控操作者的真實身份,以及哪些平台被用來促進監控或托管受害者的被盜數據。
在調查過程中,TechCrunch 會聯繫任何被識別為托管或支持間諜軟件和監控應用的公司,這是標準的報導實踐。許多公司,如網頁主機和支付處理商,通常會暫停違反其服務條款的賬戶或移除數據。
在 2 月份,TechCrunch 獲知 Cocospy 和 Spyic 已經發生洩露,並開始進一步調查。
技術分析
由於數據顯示大多數受害者是 Android 設備使用者,TechCrunch 開始識別、下載並在虛擬 Android 設備上安裝 Cocospy 和 Spyic 應用程式。虛擬設備允許在受保護的沙盒中運行監控應用,而不提供任何實際數據,如位置。
我們使用網絡流量分析工具檢查應用程式進出數據的流量,這有助於了解每個應用的運作方式,並確定哪些手機數據正在被秘密上傳。
網絡流量顯示這兩款監控應用正在將一些受害者的數據(如照片)上傳到其各自的存儲桶,這些桶托管在 Amazon Web Services 上。
TechCrunch 確認了這一點,通過登錄 Cocospy 和 Spyic 的用戶儀表板,這允許安裝監控應用的人查看目標的被盜數據。這些網頁儀表板讓我們能夠訪問虛擬 Android 設備的照片庫內容。
當我們從每個應用的網頁儀表板打開設備的照片庫內容時,圖像從包含其各自存儲桶名稱的網址加載,這些網址由 Amazon Web Services 提供。
在後來的 Spyzie 數據洩露新聞報導之後,TechCrunch 也使用網絡分析工具分析了 Spyzie 的 Android 應用,發現其流量數據與 Cocospy 和 Spyic 相同。Spyzie 應用同樣將受害者的設備數據上傳到其名下的存儲桶,這一情況在 3 月 10 日時已通知 Amazon。
如果需要幫助,國家家庭暴力熱線(1-800-799-7233)提供 24/7 免費且保密的支持,幫助家庭暴力和虐待的受害者。如果處於緊急情況,請撥打 911。反間諜軟件聯盟也提供資源,幫助懷疑手機被間諜軟件侵入的人。
台灣電話卡推介 / 韓國電話卡推介
更多儲值卡評測請即睇:SIM Card 大全
https://www.techritual.com/category/sim-card-review/
